Dela via

Konfigurera Azure Key Vault-brandväggar och virtuella nätverk

  • Artikel

Det här dokumentet beskriver de olika konfigurationerna för en Azure Key Vault-brandvägg i detalj. Om du vill följa de stegvisa anvisningarna för hur du konfigurerar de här inställningarna kan du läsa Konfigurera Nätverksinställningar för Azure Key Vault.

Mer information finns i Tjänstslutpunkter för virtuellt nätverk för Azure Key Vault.

Brandväggsinställningar

Det här avsnittet beskriver de olika sätt som en Azure Key Vault-brandvägg kan konfigureras på.

Key Vault-brandväggen är inaktiverad (standard)

Som standard inaktiveras Azure Key Vault-brandväggen när du skapar ett nytt nyckelvalv. Alla program och Azure-tjänster kan komma åt nyckelvalvet och skicka begäranden till nyckelvalvet. Den här konfigurationen innebär inte att någon användare kommer att kunna utföra åtgärder i ditt nyckelvalv. Nyckelvalvet begränsar fortfarande åtkomsten till hemligheter, nycklar och certifikat som lagras i nyckelvalvet genom att kräva Behörigheter för Microsoft Entra-autentisering och åtkomstprincip. Mer information om key vault-autentisering finns i Autentisering i Azure Key Vault. Mer information finns i Åtkomst till Azure Key Vault bakom en brandvägg.

Key Vault-brandvägg aktiverad (endast betrodda tjänster)

När du aktiverar Key Vault-brandväggen får du alternativet "Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggen". Listan över betrodda tjänster omfattar inte alla Azure-tjänster. Azure DevOps finns till exempel inte med i listan över betrodda tjänster. Detta innebär inte att tjänster som inte visas i listan över betrodda tjänster inte är betrodda eller osäkra. Listan över betrodda tjänster omfattar tjänster där Microsoft styr all kod som körs på tjänsten. Eftersom användare kan skriva anpassad kod i Azure-tjänster som Azure DevOps, ger Microsoft inte möjlighet att skapa ett generellt godkännande för tjänsten. Bara för att en tjänst visas i listan över betrodda tjänster betyder det inte att den är tillåten för alla scenarier.

Information om huruvida en tjänst som du försöker använda finns i listan över betrodda tjänster i Tjänstslutpunkter för virtuellt nätverk för Azure Key Vault. Följ anvisningarna här för Portal, Azure CLI och PowerShell för en instruktionsguide

Key Vault-brandvägg aktiverad (IPv4-adresser och IPv4-intervall – statiska IP-adresser)

Om du vill auktorisera en viss tjänst för åtkomst till nyckelvalvet via Key Vault-brandväggen kan du lägga till dess IP-adress i listan över tillåtna nyckelvalvsbrandväggar. Den här konfigurationen passar bäst för tjänster som använder statiska IP-adresser eller välkända intervall. Det finns en gräns på 1 000 CIDR-intervall för det här fallet.

Utför följande steg för att tillåta en IP-adress eller ett intervall för en Azure-resurs, till exempel en webbapp eller logikapp.

  1. Logga in på Azure-portalen.
  2. Välj resursen (specifik instans av tjänsten).
  3. Välj bladet Egenskaper under Inställningar.
  4. Leta efter fältet IP-adress .
  5. Kopiera det här värdet eller intervallet och ange det i listan över tillåtna nyckelvalvsbrandväggar.

Om du vill tillåta en hel Azure-tjänst, via Key Vault-brandväggen, använder du listan över offentligt dokumenterade IP-adresser för datacenter för Azure här. Hitta DE IP-adresser som är associerade med den tjänst som du vill ha i den region du vill ha och lägg till dessa IP-adresser i nyckelvalvsbrandväggen.

Key Vault-brandvägg aktiverad (virtuella nätverk – dynamiska IP-adresser)

Om du försöker tillåta en Azure-resurs, till exempel en virtuell dator via nyckelvalvet, kanske du inte kan använda statiska IP-adresser och du kanske inte vill tillåta att alla IP-adresser för Azure Virtual Machines får åtkomst till ditt nyckelvalv.

I det här fallet bör du skapa resursen i ett virtuellt nätverk och sedan tillåta trafik från det specifika virtuella nätverket och undernätet för att få åtkomst till ditt nyckelvalv.

  1. Logga in på Azure-portalen.
  2. Välj det nyckelvalv som du vill konfigurera.
  3. Välj bladet Nätverk.
  4. Välj + Lägg till befintligt virtuellt nätverk.
  5. Välj det virtuella nätverk och undernät som du vill tillåta via nyckelvalvsbrandväggen.

Information om hur du konfigurerar en privat länkanslutning i nyckelvalvet finns i dokumentet här.

Viktigt!

När brandväggsreglerna är i kraft kan användarna bara utföra key vault-dataplansåtgärder när deras begäranden kommer från tillåtna virtuella nätverk eller IPv4-adressintervall. Detta gäller även för åtkomst till Key Vault från Azure Portal. Även om användarna kan bläddra till ett nyckelvalv från Azure Portal kanske de inte kan lista nycklar, hemligheter eller certifikat om klientdatorn inte finns med i listan över tillåtna. Detta påverkar även key vault-väljaren som används av andra Azure-tjänster. Användare kanske kan se en lista över nyckelvalv, men inte listnycklar, om brandväggsregler förhindrar klientdatorn.

Kommentar

Tänk på följande konfigurationsbegränsningar:

  • Högst 200 regler för virtuella nätverk och 1 000 IPv4-regler tillåts.
  • IP-nätverksregler tillåts endast för offentliga IP-adresser. IP-adressintervall som är reserverade för privata nätverk (enligt definitionen i RFC 1918) tillåts inte i IP-regler. Privata nätverk innehåller adresser som börjar med 10., 172.16-31 och 192.168..
  • För tillfället stöds endast IPv4-adresser.

Offentlig åtkomst inaktiverad (endast privat slutpunkt)

För att förbättra nätverkssäkerheten kan du konfigurera valvet för att inaktivera offentlig åtkomst. Detta nekar alla offentliga konfigurationer och tillåter endast anslutningar via privata slutpunkter.

Nätverkssäkerhetsperimeter (förhandsversion)

Med nätverkssäkerhetsperimeter (förhandsversion) kan organisationer definiera en isoleringsgräns för logiskt nätverk för PaaS-resurser (till exempel Azure Key Vault, Azure Storage och SQL Database) som distribueras utanför organisationens virtuella nätverk. Den begränsar åtkomsten till PaaS-resurser utanför perimetern, åtkomst kan undantas med hjälp av explicita åtkomstregler för offentlig inkommande och utgående trafik.

Nätverkssäkerhetsperimetern finns för närvarande i offentlig förhandsversion för en delmängd resurser. Se Onboarded private-link resources and Limitations of network security perimeter (Onboarded private-link resources and Limitations of network security perimeter). Mer information finns i Övergång till en nätverkssäkerhetsperimeter.

Viktigt!

Privat slutpunktstrafik anses vara mycket säker och omfattas därför inte av regler för nätverkssäkerhetsperimeter. All annan trafik, inklusive betrodda tjänster, omfattas av regler för nätverkssäkerhetsperimeter om nyckelvalvet är associerat med en perimeter.

Med en nätverkssäkerhetsperimeter:

  • Alla resurser i perimetern kan kommunicera med alla andra resurser inom perimetern.
  • Extern åtkomst är tillgänglig med följande kontroller:
    • Offentlig inkommande åtkomst kan godkännas med hjälp av nätverks- och identitetsattribut för klienten, till exempel käll-IP-adresser, prenumerationer.
    • Offentlig utgående trafik kan godkännas med hjälp av FQDN (fullständigt kvalificerade domännamn) för de externa destinationerna.
  • Diagnostikloggar är aktiverade för PaaS-resurser inom perimetern för granskning och efterlevnad.

Begränsningar och överväganden

  • Om du anger Åtkomst till offentligt nätverk till Inaktivera tillåts fortfarande betrodda tjänster. Om du byter åtkomst till offentligt nätverk till Säker efter perimeter förbjuder du sedan betrodda tjänster även om de har konfigurerats för att tillåta betrodda tjänster.
  • Azure Key Vault-brandväggsregler gäller endast för dataplansåtgärder . Kontrollplansåtgärder omfattas inte av de begränsningar som anges i brandväggsregler.
  • Om du vill komma åt data med hjälp av verktyg som Azure Portal måste du vara på en dator inom den betrodda gräns som du upprättar när du konfigurerar nätverkssäkerhetsregler.
  • Azure Key Vault har inget begrepp om regler för utgående trafik. Du kan fortfarande associera ett nyckelvalv till en perimeter med utgående regler, men nyckelvalvet använder dem inte.

Associera en nätverkssäkerhetsperimeter med ett nyckelvalv – Azure PowerShell

Följ dessa instruktioner om du vill associera en nätverkssäkerhetsperimeter med ett nyckelvalv i Azure PowerShell.

Associera en nätverkssäkerhetsperimeter med ett nyckelvalv – Azure CLI

Följ dessa instruktioner om du vill associera en nätverkssäkerhetsperimeter med ett nyckelvalv i Azure CLI

Åtkomstlägen för nätverkssäkerhetsperimeter

Nätverkssäkerhetsperimeter stöder två olika åtkomstlägen för associerade resurser:

Läge Beskrivning
Inlärningsläge Standardåtkomstläget. I inlärningsläge loggar nätverkssäkerhetsperimetern all trafik till söktjänsten som skulle ha nekats om perimetern var i framtvingat läge. På så sätt kan nätverksadministratörer förstå söktjänstens befintliga åtkomstmönster innan de implementerar tillämpning av åtkomstregler.
Framtvingat läge I framtvingat läge loggar nätverkssäkerhetsperimetern och nekar all trafik som inte uttryckligen tillåts av åtkomstregler.

Nätverkssäkerhetsperimeter och nätverksinställningar för nyckelvalv

Inställningen publicNetworkAccess avgör nyckelvalvets association med en nätverkssäkerhetsperimeter.

  • I inlärningsläge styr inställningen publicNetworkAccess offentlig åtkomst till resursen.

  • I framtvingat läge publicNetworkAccess åsidosätts inställningen av reglerna för nätverkssäkerhetsperimeter. Om en söktjänst med inställningen publicNetworkAccess enabled är associerad med en nätverkssäkerhetsperimeter i framtvingat läge styrs åtkomsten till söktjänsten fortfarande av åtkomstregler för nätverkssäkerhet.

Ändra åtkomstläget för nätverkssäkerhetsperimeter

  1. Gå till nätverkssäkerhetsperimeterresursen i portalen.

  2. Välj Resurser på den vänstra menyn.

  3. Hitta ditt nyckelvalv i tabellen.

  4. Välj de tre punkterna längst till höger på söktjänstraden. Välj Ändra åtkomstläge i popup-fönstret.

  5. Välj önskat åtkomstläge och välj Använd.

Aktivera nätverksåtkomst för loggning

Se Diagnostikloggar för nätverkssäkerhetsperimeter.

Referenser

Nästa steg